Поліна Гросс, молодша юристка ETERNA LAW
В умовах гібридної війни проти України цифрова безпека набуває ключового значення. У відповідь на зростаючу загрозу використання програмного забезпечення (ПЗ), що потенційно контролюється або створене країною-агресором, Верховна Рада зареєструвала законопроєкт «Про заборону використання та розповсюдження ворожих програмних продуктів та ворожих засобів інформатизації». Цей закон має стати своєрідним цифровим щитом, який убезпечить державу, бізнес і громадян від прихованих загроз у коді.
У статті розглянемо, як саме формуватиметься перелік ворожого ПЗ, коли його застосування стане обов’язковим, як діяти у разі сумнівів та які юридичні гарантії об’єктивності передбачає законопроєкт.
Хто формує перелік ворожого ПЗ?
Згідно зі статтею 3 законопроєкту, базовий перелік програм, які плануються визнатись ворожими, формує Кабінет Міністрів України. Відповідно до подання:
- центрального органу виконавчої влади, що реалізує державну політику у сфері електронних інформаційних ресурсів;
- Державної служби спеціального зв’язку та захисту інформації України (ДССЗЗІ).
Важливо зазначити, що перелік ворожих програмних продуктів не буде окремим реєстром. Він включатиметься до складу вже чинного відкритого переліку забороненого до використання програмного забезпечення та комунікаційного (мережевого) обладнання, який ведеться ДССЗЗІ відповідно до вимог Закону України «Про основні засади забезпечення кібербезпеки України».
Таким чином, буде сформовано єдиний інтегрований перелік, в межах якого перелік ворожого ПЗ виступатиме окремою категорією. Це підтверджується як текстом законопроєкту (ст. 3 ч. 2), так і проєктом урядової постанови, яка визначає порядок ведення відкритого переліку.
Перегляд переліку передбачається не рідше одного разу на рік.
Додатково пропозиції щодо змін до переліку зможуть подавати:
- Національний банк України — у межах банківської системи;
- Служба безпеки України — у сфері безпеки та оборони.
Коли почне діяти заборона?
Згідно зі статтею 5, остаточна заборона на використання, продаж і розповсюдження ворожого ПЗ набуде чинності, відповідно до законопроєкту, з 1 січня 2030 року.
Проте деякі обов’язки запрацюють раніше, зокрема:
- з дня опублікування Кабінетом Міністрів відповідних переліків ворожого ПЗ та засобів інформатизації набудуть чинності зобов’язання державних органів та критичної інфраструктури щодо виведення такого ПЗ з експлуатації;
- органи влади, держпідприємства, військові формування, оператори критичної інфраструктури мають вжити «невідкладних заходів» для переходу на альтернативне програмне забезпечення.
Як можна оскаржити ворожий статус ПЗ?
У разі сумнівів щодо включення ПЗ до переліку, будь-яка фізична або юридична особа, а також суб’єкт владних повноважень зможе подати звернення до уповноваженого органу, що відповідає за кіберзахист, а саме, ДССЗЗІ.
На підставі такого звернення запускається процедура експертизи, яка може змінити рішення щодо віднесення ПЗ до ворожого. Експертний висновок є підставою для перегляду списку.
Таким чином, законопроєкт передбачає юридичний інструмент захисту від помилкового або упередженого включення до переліку.
Юридичні гарантії об’єктивності
Попри чітко централізований процес формування переліку, законопроєкт передбачає кілька запобіжників від суб’єктивізму:
- Критерії чітко закріплені у законі (стаття 3) і не можуть змінюватися постановами уряду або наказами.
- Участь ключових органів у формуванні переліку (КМУ, ДССЗЗІ) запобігає монополії на рішення.
- Перелік публічний, тому кожен має змогу перевірити його зміст.
- Наявність механізму оскарження дає можливість підприємствам захищати свої права.
- Санкції застосовуються виключно за рішенням суду — це додатковий фільтр проти зловживань (стаття 6).
Коли чекати появи переліку?
Згідно з перехідними положеннями (стаття 7), перелік має бути опублікований Кабінетом Міністрів України. Сам закон набирає чинності через 6 місяців після опублікування, а вже протягом трьох місяців з цієї дати КМУ має:
- розробити нормативно-правові акти;
- забезпечити приведення відомчих документів у відповідність до закону.
Отже, у разі прийняття законопроєкту перші переліки варто очікувати протягом 9 місяців після публікації закону, ймовірно, вже впродовж 2026 року.
Висновок
Запровадження переліку ворожого ПЗ — це не чергова формальність, а комплексний захід із забезпечення цифрової стійкості країни. Законопроєкт передбачає чітку процедуру формування списку, механізми захисту прав бізнесу, а також відтермінування для адаптації. Водночас важливо розуміти: перелік ворожого ПЗ буде інтегрованим у вже чинний перелік забороненого ПЗ і мережевого обладнання, а не окремим реєстром.
Проте 2030 рік не за горами, і вже сьогодні варто вживати заходів, щоб не лише уникнути санкцій, а й зробити власні IT-рішення безпечними, сучасними та суверенними.
Джерело: The Page
